전세계 연구기관에서 인터넷을 자유롭게, eduroam

보안라이프/IT트렌드 2013. 11. 15. 08:30

"학회장에서 인터넷을 이용하시려면 여기 아이디와 비밀번호를 받아가셔서 접속하시면 됩니다."

"여기에서도 eduroam이 사용 가능한가요?"


지난 7월에 독일 뮌헨에서 열린 C&T(Communities & Technologies) 2013이라는 학회에 참가했을 때의 일이다. 당시에 자원봉사자로 등록데스크에서 일을 하고 있었는데, 어떤 참가자가 eduroam으로 인터넷 사용이 가능하냐고 물었고, 그 사람 말고도 전 세계 많은 나라에서 온 다양한 사람들은 무선인터넷 사용에 대해서 별도로 물어보지 않고도 사용하고 있었다.


요즘 우리는 많은 곳에서 무선랜을 이용할 수 있다. 학교부터 자주 찾는 카페나 식당은 물론 심지어 이동하는 버스나 전철, 기차, 비행기에서도 무선랜의 사용이 가능해진 시대가 되었다. 몇 년 전만 하더라도 이러한 모습을 쉽게 볼 수 없었지만, 이제는 우리의 일상 생활의 일부분이 되고 있다. 그러나 우리가 자유롭게 이용할 수 있는 와이파이는 한정되어 있다. 이것은 장비 운용 등의 비용을 생각하면 매우 당연한 것이지만, 학교와 같은 교육기관이나 연구기관을 생각해보면 의문이 생기게 된다.


우리나라의 대부분의 대학교들은 각자의 무선랜 시스템을 가지고 있다. 무선랜에 연결하면 내부인 인증을 해야 한다고 알려주는 곳도 있지만, 반면 처음부터 아이디와 비밀번호를 입력하지 않으면 접속할 수 없는 그런 ‘불친절’한 무선랜 시스템을 운용하는 곳도 있다. 


시간과 돈 절약되는 연구기관용 무선 인터넷


그래서 만약 출장이나 학회 등으로 다른 학교에 방문을 하게 될 때 무선랜을 이용하기 위해서는 번거로운 과정을 거치게 된다. 초청하는 쪽에서는 사전에 미리 외부인을 위한 무선랜 접속 권한을 얻어두어야 하고, 방문하는 쪽에서는 접속을 위해 필요한 정보들을 계속 숙지해야 하기 때문이다. 


이는 교육기관이나 연구기관은 기본적으로 비영리적인 목적을 가지고 있으며, 특히 상호 교류가 많다는 점에서 시간과 자원을 낭비하는 사례가 될 수 있다. 그렇다면 외국에서는 이러한 문제를 어떻게 해결하고 있을까? 바로 eduroam(에듀롬)이라는 서비스를 통해 이러한 불편함을 줄이고 있다.



eduroam은 education과 roaming을 합친 말로 전세계의 학생, 교육자, 연구자들을 위해서 만들어진 무선랜 로밍 서비스이다. 유럽 지역에서 처음 시작되어 전 세계의 교육/연구 기관으로 확장되어, 2013년 10월 현재 전세계 66개국 1만 곳 이상의 교육/연구 기관에서 eduroam을 이용할 수 있다. 또한 일부 국가에서는 교육/연구 기관이 아닌 공공장소나 기차역 등에서도 eduroam을 사용할 수 있는 곳이 있다. 실제로 독일 뮌헨의 U6 Garching-Forschungszentrum (Garching Research Center) 전철역에서는 역 구내에서 eduroam 서비스를 이용할 수 있었다.



한국에 있는 KAIST(좌)와 독일의 TUM(우)에서 eduroam 서비스를 이용하는 모습


eduroam 사용자는 전세계 어디를 가거나 추가 인증 절차가 없이 바로 다른 기관의 무선랜 자원을 활용할 수 있게 된다. 그렇다고 해당 기관에 원래 소속된 사용자도 반드시 eduroam을 이용해야 하는 것은 아니다. 위에 사진에 있는 두 기관의 사례에서도 확인할 수 있듯 각 기관에서 원래 사용되고 있는 무선랜(KAIST : Welcome_KAIST / TUM : lrz)에 eduroam은 multiple SSID로 작동하고 있다.


전세계 어디서든 편리하게 인터넷을 


그렇다면 eduroam 서비스는 안전하게 이용할 수 있을까. eduroam 기술은 802.1x EAP(Extensible Authentication Protocol) (WPA2-Enterprise) 방식과 RADIUS(Remote Authentication Dial-in User Services) 서버를 통해 구현되고 있다. 사용자가 접속하는 기관이 원 소속 기관과 다른 경우 크게 두 가지 과정을 거치게 된다. 먼저 사용자의 인증 요청이 RADIUS 서버를 통해 사용자의 원 소속 기관으로 보내진다. 이 과정에서 NTLR(National Top-Level RADIUS) 서버를 거치게 된다. 그러고 나서 원 소속 기관에서 해당 사용자의 정보를 확인하고 RADIUS 서버를 통해 방문 기관으로 인증 결과를 보내게 된다. 그 결과에 따라 eduroam 서비스를 이용할 수 있다. 이처럼 eduroam 서비스는 최신의 가장 안전한 보안/인증 방법을 사용하고 있다. 물론 방문 기관의 보안 설정에 따라 방화벽 등의 설정에서 차이가 있을 수 있다. 


또한 eduroam 서비스는 소속 기관과 방문 기관 모두 서비스에 가입되어 있다면, 전세계 어느 기관을 가든지 추가적인 조치가 필요없이 무선 네트워크를 안전하고 자유롭게 사용할 수 있다. 


이 밖에도 다양한 장점이 있다. 해외에서는 비용 문제 때문에 데이터 네트워크에 쉽게 접속하지 못한다는 상황을 생각하면, 해외에 나갔을 때 인터넷을 사용할 수 있는 확실한 곳이 된다. 또한 비상시에도 인터넷을 사용할 수 있는 확실한 장소가 된다. 말도 잘 통하지 않고 위치에 대한 개념이 없을 때 eduroam이 사용 가능한 기관을 찾아 인터넷을 사용할 수 있다면 상당한 도움이 될 것이다. 


실제로 스위스의 로잔에서 친구와 연락이 되지 않았을 때 EPFL(로잔연방공과대학교)에 가서 인터넷에 접속하여 연락을 할 수 있었고, 스코틀랜드의 에딘버러에서도 에딘버러 대학교에 설치된 eduroam 서비스를 길 가다가 우연히 만나게 되어 사용할 수 있었으며, 체코의 프라하에서는 중앙역 근처에서 우연히 eduroam 무선랜을 접속할 수 있어서 꽤나 유용하게 사용했던 기억이 있다.


현재 우리나라는 KISTI(한국과학기술정보연구원)의 주도 하에 2013년 7월부터 GIST(광주과학기술원), KAIST(한국과학기술원), KISTI에서만 eduroam 서비스를 이용할 수 있다. 지난 2013년 1월 국공립대학정보기관협의회와 전남대학교의 주도로 우리나라에 있는 국공립대학교에 keduroam 서비스를 구축하여 현재 시범서비스가 이뤄지고 있다. 그래서 해당 국공립대학교에 소속된 구성원은 keduroam 서비스가 구축된 곳에서 무선랜 자원을 자유롭게 사용할 수 있다. 또한 추후에 국제적으로 사용되는 eduroam에도 연동시킬 수 있도록 한다고 한다. 그렇게 된다면 한국의 보다 많은 학생들이 전세계의 eduroam 자원을 활용할 수 있게 될 것이다.


세상의 변화 속도는 점점 더 빨라지고 있고, 기술의 발전에 따라 많은 경계들이 사라지고 있다. eduroam 서비스는 빨리 변화하는 세상에서 매우 작은 변화일 뿐이다. 하지만 이 서비스를 통해 전세계의 많은 교육/연구 기관의 사람들이 서로 방문하게 될 때 추가로 번거로운 작업을 하지 않아도 되도록 만들어주었다. 


하지만 우리나라에서는 여전히 많은 교육/연구 기관에서 이러한 장점을 활용할 수 없는 상황이다. 물론 우리나라에서는 모바일 네트워크 환경이 좋은 편이기 때문에 상대적으로 활용도는 떨어질 수 있다. 그러나 어느 한 곳이 손해를 보는 것이 아니라 많은 사람들에게 편리함을 줄 수 있고 보다 많은 사용자들이 그 혜택을 볼 수 있는 만큼 이러한 움직임이 더 확대된다면 작은 변화이지만 조금 더 편리한 환경이 될 수 있을 것이다. Ahn


* 2015년 4월 15일 추가 내용

KISTI "연구자 위한 글로벌무선로밍서비스 활성화"

15일 KISTI-전남대, '에듀롬 활용 확대 MOU' 체결

본문에서 한국의 국립대학에서 서비스 중인 keduroam도 추후 전세계에서 이용가능한 eduroam 서비스로 합쳐질 예정이라고 언급하였습니다. 최근에 관련 MOU가 체결되어 빠른 시일 내에 keduroam 이용자도 eduroam 서비스를 이용할 수 있을 것으로 예측됩니다.

* 2016년 1월 28일 추가 내용
전국대학 eduroam 운영센터 홈페이지가 생겼습니다. http://www.eduroam.kr/
이전의 기사에서 언급된대로, 전남대학교의 주도로 운영되는 운영센터로 전남대학교 정보전산원에서 운영중인 페이지입니다.

또한 현재 eduroam을 사용할 수 있는 기관이 이전에 비해 상당히 많이 늘어난 것으로 보입니다. 이용가능 대학은 캠퍼스 기준으로 국내 50개 이상 캠퍼스에서 사용가능한 것으로 확인됩니다. (해당 홈페이지의 이용가능 대학 리스트에는 KISTI, KAIST(대전캠퍼스 및 서울의 경영대학 포함), GIST 등의 과학기술원이나 연구기관이 제외되어 있지만 실제로는 운영중입니다.) 실제로 필자는 2015년 12월 경희대학교에 방문하였을 때 eduroam을 사용할 수 있었습니다.

* 2016년 4월 21일 추가 내용
서울대학교에 방문했을 때, eduroam을 원활히 사용할 수 있었습니다. 1월에 추가한 내용처럼 keduroam을 서비스하던 기관들이 대부분 eduroam으로 전환한 것으로 보입니다.



대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr



댓글을 달아 주세요

세계 석학 스패포드 "보안, 기술 아닌 사람을 보라"

카테고리 없음 2013. 10. 28. 12:11

"만약 컴퓨터가 없으면 사이버 보안 사고가 없을 것이다또한 만약 사람이 존재하지 않아도 사이버 보안 사고는 없을 것이다그렇기 때문에 기술에만 초점을 맞춰서 문제를 해결하려고 하는 것은 완전한 해결 방안이 될 수 없고우리는 보안 문제에 있어서 사람을 고려해야 한다."


보안 분야 세계적 석학인 미국 퍼듀대학교 유진 스패포드(Eugene Spafford) 교수가 10 15 안랩 테마특강에서 한 말이다. 


안랩 테마특강은 안랩 임직원에게 다양한 지식과 문화교양에 대한 교육 프로그램. 이번 테마특강은 세계지식포럼 참석차 방한한 유진 스패포드 교수가 기존 사이버 보안의 방식을 깨고자 하는 사람의 사이버 보안에 대한 몇 가지 생각이라는 강연으로 진행되었다


스패포드 교수는 퍼듀대학교 컴퓨터공학과 교수이자 보안연구센터(CERIAS소장으로 컴퓨팅 시스템에 대한 보안 관련 연구 및 강의를 오래 해왔으며미국컴퓨터협회(ACM), 미국과학진흥협회(AAAS) 그리고 국제전기전자기술자협회(IEEE) 펠로우이다.



김홍선 대표의 소개로 단상에 올라선 스패포드 교수는 상당히 푸근한 모습이었다. “Good afternoon!”이라는 인사로 시작했는데, 안랩인들이 다 같이 “Good afternoon!”하고 인사하는 모습은 마치 영어 수업에 온 듯 했다. 하지만 이내 곧 본 강연에 들어갔다



먼저 스패포드 교수가 소장으로 있는 CERIAS에 대한 짧은 소개가 이뤄졌다. CERIAS는 퍼듀대학교에 소속된 곳으로 정보 보호와 보안에 관련된 교육과 연구를 하고 있는 기관이다. 단순히 전산학과와만 관련 있는 것이 아닌 다양한 학과의 분야를 넘나들고 있다. 실제로 보안과 관련된 연구와는 다소 동떨어졌다고 생각할 수 있는 경제학이나 언어학, 원자력공학, 정치학, 심리학, 사회학, 로보틱스 등 다양한 분야를 같이 다루고 있다. 이러한 사실은 강연 뒷 부분에서 다루는 내용과 관련이 있었다.


CERIAS를 소개한 후, ‘사이버 보안에 대한 몇 가지 생각이라는 주제에 대해 본격적으로 이야기하기 시작했다. 이야기는 크게 두 부분으로, 하나현재 발생하는 보안 문제에 대한 기본적인 배경과 현재의 상황, 다른 하나 본인이 생각하는 미래에 발생할 수 있는 새로운 보안 문제였다. 다음은 주요 내용.



대부분의 사람은 큰 그림을 본다든지 장기간의 안목으로 보는 것 대신 문제를 해결하는 것에만 집중한다. 또한 세상이 빠르게 변하는 것에 휩쓸려서 그 순간순간에만 집중을 한다만약 우리가 잠깐 멈추고 한 발짝 뒤로 물러서서 긴 안목으로 본다면 미래에 어떤 일이 발생할 지에 대한 실마리를 얻을 수 있다.


IT로 인해 세상은 어떻게 변화해 왔나


마이크로 칩에 들어가는 트랜지스터의 숫자는 무어의 법칙에 따라 몇 년 전까지 18개월에 2배씩 증가하였고, 가격은 급격하게 떨어졌으며, 매년 생산되는 양은 엄청나게 증가하였다. 또한 저장 장치의 경우 집적도는 증가하고, 가격은 떨어져서 우리가 컴퓨터를 사용하는 환경에 큰 영향을 주었다. 예를 들어 1958 IBM에서 만든 컴퓨터는 건물에서 공간을 많이 차지한 대단히 큰 컴퓨터였는데, 현재 가치로 4300만 달러의 가격이었다


반면 우리가 일상생활에서 쉽게 볼 수 있는, 음악이 나오도록 칩이 들어있는 축하카드는 가격이 보통 10달러 정도이다. 그런데 그 카드에 들어가 있는 칩이 1958년 당시의 비싸고 거대한 컴퓨터보다 성능이 더 좋다. 또한 25년 전 가장 빠른 슈퍼 컴퓨터였던 Cray-1과 현재의 아이폰을 비교해보면 현재의 아이폰이 25년 전 가장 빨랐던 컴퓨터보다 성능이 좋다.


이러한 것을 고려하면 미래엔 더 작아지고 쉽게 사용가능하도록 될 것이라 생각한다. 물론 나도 어떻게 변화할지는 모른다. 하지만 여러분이 그러한 미래를 생각해보면 좋겠다. 왜냐하면 미래에 여러분의 생활이 될 것이고, 그렇게 만들어지는 제품들 역시 안랩인들이 안전하게 보호해야 할 제품들이 될 것이다.



보안을 다룰 때 고려할 문제의 큰 부분이 'Legacy Loop'이다'Legacy Loop'이란 하드웨어의 복잡도가 높아지는 것과 소프트웨어가 진보되는 것이 서로 끊임없이 영향을 준다는 의미이며, 우리 주변에 있는 모든 제품에 적용된다


우리가 소프트웨어에 더 많은 기능을 추가할수록 기능이 느려지고 문제가 생겨서 하드웨어를 업그레이드하면 그 하드웨어의 업그레이드에 맞춰서 다시 소프트웨어가 더 발전한다. 그러면 또 다시 더 높은 성능의 하드웨어가 필요하고 이것이 끊임없이 반복된다과거에 만들어진 틀에 갇혀서 그것을 기반으로만 발전하는 경우가 많아서 과거에 겪은 문제들을 우리는 지금까지도 비슷하게 겪고 있고, 과거의 기준으로 만들어진 것들을 여전히 따라야 하는 경우가 많다.

 

최초의 방화벽은 윈도우의 문제를 해결하기 위해 1989년에 만들어졌다. 또한 모리스 웜이 만들어진 지 벌써 25년이 지났다. 1988년 당시에 알려진 바이러스는 우리가 직접 하나하나 셀 수 있을 정도로 몇 십 개에 불과했지만 현재는 1 8천만 개의 바이러스가 알려져 있고, 매주 180만개씩 증가하고 있다매년 다양한 플랫폼의 소프트웨어에서 8000개의 보안과 관련된 결함이 밝혀지고 있다. 또한 스팸도 꽤나 큰 문제인데, 일반적으로 스팸메일과 스팸이 아닌 메일의 비율이 약 3 1 수준이다


핸드폰이나 모바일 기기에는 3000개가 넘는 악성 소프트웨어가 존재하고, 패스워드를 빼내려는 악성 트로이목마가 매년 1백만 개씩 새로 만들어지며, 가짜 바이러스 백신 프로그램이 150만 개가 넘는다. 또한 2011년에는 475건 이상의 정보 유출 사고가 일어났는데, 그 결과 3천만 개가 넘는 기록들이 유출되었다


하지만 여기에는 문제가 있다. 이러한 모든 위협들이 새로운 것이 아니라는 점이다. 우리는 항상 이런 것을 예측해왔고, 항상 이러한 문제 떄문에 시달려왔다. 전세계적으로 보안 분야 재설계, 보안 관련 시스템 구매 등 매년 수백억 달러 이상이 쓰이지만, 우리는 여전히 계속 새로운 문제를 겪고 있다..



미래에는 어떤 일이 일어날까


이러한 과거를 통해 미래에 어떤 일이 일어날지 예측할 수 있다. 먼저 기술 측면에서 플랫폼의 다양화, 상업적인 측면과 센서, 커뮤니케이션, 저장장치, 의도하지 않은 부작용, 지적 재산권 문제 등을 예측해보겠다.


1. 플랫폼의 다양화 

많은 것이 모바일화함에 따라 기기가 작아지고, 이동성이 높아지고 있다. 또한 대중교통이나 냉장고, 자동차 등 기존 다른 것들에 임베딩되는 것이 많아지고 있다. 많은 장비들이 서로 연결되며, 센서나 원격 제어 및 감시 시스템을 활용하는 것도 많아진다.


2. 상업적인 측면과 센서 

우리가 상상하는 제품이 나올 수 있다. 예를 들면 음악이 나오는 신발이나 RFID 기술을 이용한 칩, 그리고 최근 화두인 몸에 착용해서 사용하는 기기 등으로 우리가 생각하는 제품이 만들어질 수 있다.


3. 커뮤니케이션

IPv6를 기반으로 컴퓨터가 모든 곳에 임베딩되고 있다. 또한 애드혹 네트워크를 기반으로 지금까지 생각하지 못했던 기기 간에 서로 통신하는 것이 많아질 것이다. 중앙에 집중되는 것이 아닌 분산된 네트워크라는 특성 때문에 로그에 남지 않는 것이 많아질 것이다. 이러한 부분은 포렌식(forensic) 분석이나 클라우드와도 관련이 있다. 만약 보안 사고 등이 발생했을 때 어떻게 분석을 할 것인가도 큰 문제가 될 것이다. 또한 애드혹 네트워크에서 어떻게 시스템을 보호할 것인가도 이슈가 될 수 있다.


4. 저장장치

지금까지 저장장치가 발전해왔듯이 앞으로도 많이 발전해 나갈 것이다. 그래서 하나의 기기에서 모든 것을 해결할 수 있는 시대가 될 텐데, 어떻게 나쁜 프로그램을 찾고, 분석할 것인지 그리고 백업이나 프라이버시 문제는 어떻게 할 것인지가 화두가 될 수 있다. 지금은 단지 여러 테라바이트 단위인데, 대역 문제도 생길 수 있고, 지금까지는 단순히 백업하는 것이 가능했지만, 앞으로는 좀 다른 형태로 될 것이다. 또한 클라우드를 통해 저장하는 것이 저장소 장치의 발달에 따라 의미없는 일이 될 수도 있다.


5. 의도하지 않은 부작용 

기술의 발전에 따라서 우리는 많은 것을 가능하게 해 왔다. 예를 들면 OLPC(The One Laptop per Child)라는 운동이 있다. 매우 저렴한 가격에 안드로이드를 기반으로 만들어지는 것으로 아프리카나 남미 등 물이나 전기가 없어도 인터넷이 무선으로 가능하도록 하는 미니 노트북이다. 이것은 새로운 기술에 대한 접근성이 떨어지는 아이들에게 인터넷 연결이나 프로그램, 이메일 등 컴퓨터를 사용하는 방법을 배울 수 있게 해주고, 전세계와 소통할 수 있도록 하고자 만들어졌다. 


그런데 이상적으로는 매우 좋은 프로젝트이지만, 그러한 나라를 보면 많은 아이들이 부모님을 잃고 본인의 의지와 상관없이 소년병이 되는 경우가 많이 있다. 거기에는 법이 없고, 문화적 상식과 매너가 없다. 그런 아이들에게 컴퓨터를 주게 되었을 때 만약 매우 나쁜 해커로 발전하게 된다면 어떨까. 그러한 의도치 않은 부작용 역시 고려할 부분이다.


6. 지적 재산권 문제 

지적 재산권과 관련한 문제는 갈수록 증가하고 있다. 그런데 현재의 방식으로 계속 적용된다면 문제가 많이 생길 수 있고, 저작권과 관련해서 새로운 지식재산권 모델이 필요하다. 현재의 방식은 지속가능성이 부족하고, 개인정보와 관련된 문제도 많이 생기게 한다.



신기술은 나쁜 세력도 활용한다


이처럼 기술의 발전에 따라 미래에는 새로운 것이 많이 생길 것이라 예상된다. 하지만 사람들은 그러한 신기술을 좋은 의도로만 사용하지 않는다. 나쁜 사람들도 새로운 기술을 배우고 있다. 그들은 어떻게 하고 있을까.

 

해킹을 하는 사람들 

그들은 개개인의 정보를 빼내거나, 어떤 기관의 정보를 빼내는 행위, DDoS 공격, 사기, 신원 도용 등의 문제를 일으킨다. 실제로 보이스 피싱과 비슷한 형태의 범죄로 인해 외국의 어떤 은행 지점은 은행의 많은 자산을 잃었다고 한다.


혼란스럽게 만드는 일 

산업 스파이나 국가적 차원에서의 스파이, 기술 이전 등의 문제가 있다. 국가나 기업에서 그러한 사람들을 키우고 있으며, 이것은 안랩 같은 기업에서 막아야 할 사람들이다.


정치적 목적의 해킹을 하는 사람들

이것은 일반적인 범죄 형태와는 다르다. 최근 논란이 되었던 어나니머스나 위키리크스 같은 형태로 나타난다. 그 사람들은 그것을 정치적인 시위라고 생각한다. 우리가 그러한 것들을 모두 추적할 수는 없지만, 점점 이런 일이 많이 일어나고 있다. 이러한 활동의 큰 문제는 이것이 위장이나 속임수로 쓰일 수 있다는 것이다. 그리고 데이터 피난처에 대해서 많은 정부가 그 부분에 대해 행동을 늦추고 있지만, 오히려 그것이 역효과를 불러 일으킬 수 있다. 멕시코 마약 조직의 사례가 그 중 하나인데, 어떻게 데이터 피난처에 있는 것들을 조사할 것인가를 고민해봐야 할 것이다.


사용자가 직접 만들어내는 장비

우리나라에서도 ATM기의 카드 넣는 부분에 추가로 해킹장비를 달아서 카드 정보를 빼내는 일이 종종 발생하였다. 추가로 붙인 장비가 너무나도 감쪽같고 똑같이 생겨서 사람들이 쉽게 인지하지 못했기 때문이다. 또한 일반적인 USB 허브처럼 생겼는데 실제로는 연결하면 모든 정보를 빼내서 전달하는 기기도 있다. 이러한 것이 가능해질 수 있는 이유는 트랜지스터의 가격이 저렴해졌고, 3D 프린터가 많이 보급되고 있기 때문이다. 3D 프린터가 이런 측면의 비즈니스에서 매우 혁명적인 도구가 될 수 있다. 그렇다면 우리는 과연 우리가 가진 기기를 계속 신뢰할 수 있을까라는 질문을 하게 된다. 자신이 늘 사용하던 기기가 항상 같은 자리에 있다고 해서 똑같은 장비라는 것을 보장할 수 있을까. 만약 정교하게 복제되어 가짜이면서도 악성인 기기가 있다면 그것은 어떻게 신뢰해야 하는가. 그러한 고민 역시 필요할 것이다.


나쁜 세력에 대응하려면

대부분의 정부는 나쁜 세력의 공격에 잘 대응하고 있다. 또한 보안 업체가 그러한 역할을 하고 있다. 하지만 법의 집행은 잘 이뤄지지 않고 있어서 정부보다는 기업에서의 대응이 더 많이 있는 편이다. 그런데 어디까지 보안 기업이 보호할 수 있게 해주어야 하는가, 보호하는 것과 조사하는 것의 경계는 어디인가를 고민할 필요가 있다. 나쁜 의도를 가진 세력 역시 미래에 많은 변화가 있을 수 있다. 안랩은 보안 업체의 선도 주자로서 아직 일어나진 않았지만 앞으로 일어날 수 있는 일을 생각해보았으면 좋겠다.



전문가 아닌 최종 사용자를 고려하라


위에서 언급했던 것처럼 우리는 근본적인 변화없이 지금까지 해왔던 것처럼 해왔다. 그렇다면 어떤 측면에서 어떻게 바뀌어야 할까.


지금까지의 보안에 관한 접근은 기술만을 위주로 해서 어떤 부분이 뚫리게 되면 그제서야 그 부분을 막는 식으로 대응이 되어 왔다. 우리는 우리의 이런 상황을 바꾸려고 해오지 않았다매년 8000개가 넘는 결함이 발생하고 있다. 이것은 단지 보안에 관련된 문제만 해당된다. 실제로 어떤 프로그램이나 데이터 등이 작동하지 않는 그러한 보안과 관련 없는 결함으로 인한 문제 역시 많이 존재한다우리는 소프트웨어를 개선하기 위해 어떤 노력을 해왔나. 어떤 기본적인 것들을 가지고 우리가 노력해왔나. 우리는 어떤 연구도 하지 않았고, 노력하지 않았다.


만약 컴퓨터가 없으면 사이버 보안 사고가 없을 것이다또한 만약 사람이 존재하지 않아도 사이버 보안 사고는 없을 것이다그렇기 때문에 기술에만 초점을 맞춰서 문제를 해결하려고 하는 것은 완전한 해결 방안이 될 수 없고우리는 보안 문제에서 사람을 고려해야 한다. 그래서 경제학이나 심리학, 범죄학, 경영학 등 다양한 학문을 통해서도 접근해야 한다.


대부분의 시스템은 전문가에게 맞게 시스템이 디자인되어 있다. 안랩 마케팅 담당자들과 만났는데 '엔지니어는 어떤 것이 어떻게 작동하는지 얘기하는 것을 좋아하지만 그게 무엇인지는 잘 이야기하지 않는다'고 했다. 소프트웨어를 만드는 사람 대부분은 최신의 소프트웨어가 어떻게 작동하는지, 그리고 어떤 알고리즘이 들어있는지 말하는 것을 매우 좋아한다. 하지만 우리는 컴퓨팅 시스템 디자인에서 사용자를 고려하지 않았고, 그래서 그들이 어떻게 사용했을 때 문제가 생기는지 궁금해하지 않았다. 그렇기 때문에 최종 사용자를 고려해야 한다.


CD를 잘 모르는 사람은 설명서가 없다면 CD 트레이에 커피 컵을 꽂아둘 수도 있다. 이것은 매우 우스운 광경이라서 비웃을 수 있지만 그것은 그 사용자의 잘못이 아니다. CD 트레이를 디자인한 사람이 당연히 그 용도를 아는 사람만 쓴다고 가정한 것이 잘못된 것이다.


우리는 이런 것을 매일매일 한다. 컴퓨터나 소프트웨어를 디자인하지만, 그것은 최종 사용자를 고려해서 설계되지 않고 컴퓨터와 관련된 일을 하는 사람에게 초점을 맞춰서 디자인된다. 이것은 바뀌어야 한다.


또 하나 사용자에게 경고를 주는 방법을 보자. 조금은 과격하지만 무서운 문구와 그림을 통해 주의를 주는 것은 상당한 효과가 있다. 사용자가 쉽게 알아차릴 수 있기 때문이다. 하지만 컴퓨터에서는 흔히 팝업에 텍스트를 잔뜩 집어넣어서 주의를 준다. 하지만 그것으로는 사용자가 쉽게 이해할 수 없다. 우리는 리스크의 위험성에 대해서 일반 사용자와 더 소통하려는 노력이 필요하다.


보안은 '아니, 너는 그렇게 하면 안 돼.'보다는 '여기 더 나은 방법이 있다'고 '내가 어떻게 하면 안전하게 사용할 수 있는지' 알려주는 것이 되어야 한다. 어떤 일이든 우리가 직업이나 취미 등으로 그것을 해야 하는 누군가에게 무엇을 할 수 없다고 말하면, 그 사람은 어떻게든 그것을 하려고 하고, 당신의 말을 무시하기 때문이다

 


기술 개발에 그치지 말고 사용하는 사람을 보라


강연을 마무리하며 다음 6가지의 결론을 말하겠다. 특히 첫째 항목은 중요하니 이 부분만큼은 꼭 기억해달라.


첫째, 우리는 기술을 개발함으로써 방어능력을 기르는 것에 한계가 있고, 개발하는 것만으로는 충분하지 않다. 기술은 일반 대중에 의해 사용되며 각자의 상황에 따라 사용된다. 바쁘거나 피곤하거나 졸리거나 그럴 때 실수를 할 수 있는 것이다. 또한 그것을 오남용하려는 사람들 역시 그 기술을 사용한다. 그래서 기술 그 자체로만은 절대 충분하지 않다.

 

둘째, 사이버 보안은 다른 컴퓨팅 분야와 독립되어 있는 것이 아니다. 우리는 반드시 더 나은 소프트웨어를 만드는 것에도 노력해야 한다. 만약 버그나 결함이 없는 소프트웨어를 만든다면 우리는 아마 모든 보안 문제를 해결할 수 있을 것이다하지만 그것을 하기 위해서는 단순히 프로그램이 뚫리는지 여부를 테스트하는 것뿐만 아니라 디자인, 심리학, 경영학 같은 측면에서 접근하는 것도 생각해야 한다.

 

셋째, 사이버 보안은 사회에서 일어나는 일들과 독립된 것이 아니다. 단순히 방화벽을 설치하는 행위 등만으로는 불충분하다우리는 모두 사회와 관련이 있다우리는 경찰이 조사하고 고발하는 것을 도와야 한다. 또한 우리는 컴퓨팅이 우리가 생각하는 긍정적인 부분이 아닌 부분에도 사용될 수 있다는 것을 알아야 한다. 그리고 프라이버시가 중요한 요소라는 것도 고려해야하고, 우리의 지식을 사회에 기여하는데 사용할 수 있어야 한다.

 

넷째, 보호하고 싶다면 접근이 되지 않도록 분리해라. 모든 것은 언제나 뚫리게 되어 있다. 만약 시스템에 접근하는 것이 가능하지 않다면, 해킹 역시 가능하지 않다. 정말 중요한 것은 온라인에 두지 말아야 한다.

 

다섯째, 우리는 컴퓨터를 중심으로 시스템을 구축하기보다는 데이터와 운영하는 것을 중심으로 우리가 만들어놓은 시스템의 구조와 운영 방법을 바꾸어야 한다. 이미 당신의 시스템이 피해를 입은 경우에 물론 누가 어떻게 했는지는 모르지만 그 원인은 다양하다. 많은 시스템이 있고, 많은 결함이 있다. 공격을 하는 사람은 몰래 잠입하는 경우가 많다. 그러한 피해는 외부인이나 유지보수하는 사람들에 의해 혹은 내부인에 의해 어딘가는 이미 그렇게 됐을 것이다.

 

여섯째, 우리가 보호 강도를 높이고, 주의를 집중하는 등 뭘 하더라도 나쁜 사람들이 우리보다 더 빨리 움직인다. 재정적인 부분이나 테스트 같은 것도 더 빠르게 한다. 왜냐하면 그들은 어떠한 규제도 받지 않기 때문이다. 그렇다면 우리도 마찬가지로 규칙을 따르는 것을 멈춰야 하나? 아니다. 우리의 사이클을 좀더 빠르게 해야 한다.

 


지난 30년 간 나는 이러한 점을 자주 말해 왔다. 하지만 세상은 별로 변화하지 않았다사회는 매우 중요한 투자를 해야 한다. 보안은 단순히 방화벽이나 안티바이러스 프로그램 같은 것으로만 해결되는 것이 아니다. 우리 스스로가 지킬 수 있도록 교육, 연구가 이뤄져야 하고, 기본적인 하드웨어와 소프트웨어에 투자해서 근본적으로 바뀌어야 한다. 


우리는 비용이나 시간 문제 때문에 우리가 제대로 이해하지 못 한 채 결함이 있는 것을 사용해 왔다. 이것은 쉽게 해결될 문제는 아니다. 그러나 우리 사회가 만약 보안을 심각하게 생각한다면 우리는 새로운 기초를 세우기 위해 매우 중요한 투자를 시작해야 한다. 그렇지 않다면 모든 것이 지금까지 그래왔던 것처럼 더 나빠질 것이다. 우리는 지금까지 항상 사람들에게 No라고만 얘기해 왔는데, 여러분이 더 좋은 방법을 제시할 수 있길 바란다.


스패포드 교수와 일문일답


- 어떤 계기로 보안에 관심을 갖게 되었나.

어렸을 때 무언가를 고치는 것을 좋아해서 많은 것들을 고쳐보았다. 자동차를 고친다든가, 어떤 문제가 있으면 그것을 해결하는 것을 좋아한다. 그러던 중 컴퓨터 소프트웨어에서 치료하는 것에 관심을 갖게 되었다.  


- 보안 분야에서 언제 보람을 느끼나.

의사소통을 할 기회가 있을 때,  학생들과 같이 일하거나 강의, 강연을 했을 때 상대방에게 설명한 내용을 상대방이 잘 이해했을 때 보람을 느낀다. 또한 가르쳤던 학생이 나중에 졸업 후 찾아와서 '교수님께 예전에 배웠던 것을 삶에 적용해서 지내고 있다'거나 '교수님께 배웠던 것이 가치있었다'라고 얘기할 때 보람을 느낀다.


- 안랩인에게 해주고 싶은 말

지금 하는 직무 외 다른 분야도 공부를 해봤으면 좋겠다. 나는 생물학을 공부하고, 범죄학이나 범죄심리학에 관심을 가졌던 것이 멜웨어에 더 관심을 갖는 계기가 되었다. 또한 서로 모여서 나누고 공유하고 소통하는 것이 매우 중요하다. 엔지니어는 소통을 잘 안 하는 경우가 많은데, 소통이 많아졌으면 좋겠다. 그리고 안랩 차원에서는 교육의 장이 많이 만들어지면 좋겠다. 포럼이나 자격증 등 여러가지의 경험을 할 수 있도록 지원이 되면 좋을 것이다.


- 근본적인 변화를 어떻게 가져올 수 있을까.

소프트웨어와 관련해서 얘기하면, 근본적인 부분에 문제가 있을 때 이것을 한 번에 다 바꿀 수 없다. 작은 것 하나하나 바꿔가는 것이 중요하며, 사고의 전환이 필요하다. 지금 현재 발생하는 여러 문제들은 특정한 소프트웨어만이 사용되기 때문에 발생한다고 볼 수 있다. 예를 들면 윈도우, 워드, 엑셀 등이 독점적으로 사용되고 있다. 만약 어떤 특정한 기능이 필요한 것이 확실하고, 완벽한 보안이 필요하다면 매우 강력한 하드웨어와 소프트웨어를 만드는 것이 좋을 것이다. 그것을 보고 다른 사람들이 좋은 솔루션이라고 생각하면 그들 역시 따라서 도입할 것이다. 하지만 문제는 시간과 비용이 많이 든다는 것이다.


- 스노든 사건을 어떻게 생각하나. 그리고 SNS의 이용이 더 많아지고 있는 지금 어떻게 하면 좋을까.

스노든 사건은 예전부터 경고해왔던 문제이다. 구글이나 페이스북 같은 회사는 더 좋은 서비스를 제공하기 위해 개인정보가 필요하다고 말하고, 그렇게 수집을 하고 있다. 또한 국가 역시 국민의 안전을 위한다는 명분으로 수집이 많이 일어나고 있다. 하지만 이것을 다시 생각해보면 그렇게 수집된 정보는 얼마든지 나쁜 목적으로 사용될 수 있는 것이었다. 또한 많은 사람들이 자발적으로 본인의 정보를 소셜네트워킹서비스 업체에 제공을 하는데, 본인의 프라이버시를 위해서라면 사용을 자제하는 것이 좋다.



이렇게 1시간 반 가량의 강연이 끝났다. 지금까지 사이버 보안이라고 하면 보안 그 자체로만 생각하였고, 그동안 너무나도 당연하게 받아들이던 것을 많이 뒤집을 수 있었다. 우리는 항상 비슷한 방식으로 보안 위협을 받아왔지만, 근본적인 변화 없이 어려움을 겪었고, 사람을 중심으로 접근하기보다는 기술을 위주로 접근하는 방식이 많았다. 또한 사용자에게 안전하게 사용할 수 있는 방법을 알려주기보다는 오히려 그렇게 하면 안 된다는 것만 전달하는 것이 당연하다고 생각하였다. 


보안 분야뿐만 아니라 우리의 일상에서 당연하게 받아들이는 것 중에도 이와 비슷한 사례가 있을 것이다. 그러한 부분에서 근본적인 변화를 일으킬 수 있다면 좀더 나은 세상으로 변화시킬 수 있을 것이다. 보안 분야의 세계적인 석학의 강연을 눈 앞에서 보고 듣고, 직접 얘기해 볼 수 있는 보람찬 시간이었다. 앞으로 다음 테마특강에서 만나게 될 분도 기대가 된다. Ahn



대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr






댓글을 달아 주세요

  1. 나의길 2013.10.29 01:52  Address |  Modify / Delete |  Reply

    역시 사람이 문제이군요 ㅎㅎ
    앞으로의 산업은 사람과 관련된 이슈가 많은데 보안 영역도 사람이 중요한가 것 같습니다.

인사 전문가가 짚어준 핵심 취업 전략 5문 5답

판교 CSR 얼라이언스 주최 '에너지 콘서트' 현장 스케치(2)

 

취업 시즌을 맞아 9월 27일 ‘판교 CSR 얼라이언스(판교 지역 기업 사회공헌연합, 이하 얼라이언스)’는 판교 글로벌 R&D센터에서 대학생 대상 강연 ‘에너지 콘서트’를 개최했다. 이번 콘서트는 실질적인 취업 정보와 조언을 주고자 마련되었으며, 전국 30여 대학에서 300여 명의 대학생이 참석해 성황을 이루었다. 

 
‘네 꿈에 날개를 달아’를 주제로 열린 이번 행사는 현실적 취업 노하우를 전달하는 Practical Talk, 판교테크노밸리 입주 기업 CEO들의 강연을 듣는 Motivational Talk와 Inspirational Talk 등 세 가지 주제의 강연과 중간 휴식 시간에 인디밴드 공연을 감상하는 Energy Performance까지 네 파트로 진행되었다.

 

Practical Talk 시간에는 위메이드엔터테인먼트(이하 위메이드)와 안랩의 HR(인사) 전문가가 나서 ‘기업은 어떤 인재를 원하나’를 주제로 실질적인 취업 관련 노하우를 발표했다. 각 강연이 끝나고, 사전에 받은 질문과 현장에서 받은 질문에 답변을 해주는  '즉문즉설'이 진행되었다. 다음은 주요 내용.

1. 시간과 공을 들여 쓰게 되는 자기소개서, 정말 중요한가요?

박원철 과장(안랩 인사팀이하 박) : 안랩은 정해진 자기소개서가 없다중요하지 않다고 판단하기 어렵다하지만 왜 없앴을까 고민을 해보면 좋을 것이다만약 중요했다면 절대 없애지 않았을 것이다자기소개서 대신 여러분의 경험을 별도로 물어볼 수 있는 방법을 통해 이뤄지고 있다고 생각하면 좋다.

손영미 차장(위메이드엔터테인먼트 인사팀이하 손) : 안랩의 답변에 대해 아쉬울까 봐 말씀드리면 위메이드는 자기소개서가 있다본인의 장단점재학/재직 기간 중의 업적재학/재직 기간 중의 공부와 업무 외에 한 것지원 동기 및 하고 싶은 말이렇게 크게 4가지로 구성되어 있다.

2. 자기소개서를 쓸 때 요령은 어떤 것이 있을까요?

 : 회사에서 자기소개서 평가 및 검증을 하던 때가 있었다. Ctrl+F를 눌러서 사용된 단어에 대한 검색을 쉽게 해 볼 수 있고그것을 다른 단어로 바꿀 수 있다예를 들어 안랩이라는 단어를 검색하고안랩 대신 다른 기업의 이름으로 바꿔본다그렇게 바꾸었을 때 글이 너무 자연스럽게 보인다면 좋은 평가를 할 수 없다물론 대부분의 자기소개서는 복사붙여넣기를 할 수밖에 없는 상황을 잘 알고주로 사용되는 기본 문구들이 있는 것을 안다하지만 여기서 중요한 것은 회사의 기준에서는 본인의 장점도 중요하지만본인의 지원동기도 중요하기 때문에 지원 동기만이라도 새롭게 쓰는 것이 좋다. 

3. 하반기 공채에서 서류가 계속 탈락합니다어떻게 하면 합격할 수 있을까요?

 : 현재 전국의 구직자를 약 50만 명으로 추산하고웬만한 일자리는 6만 개 정도로 추산한다문제는 그 50만 명이 하반기 공채에 모두 몰린다는 것이 문제이다안랩도 물론 공채를 하지만신입사원을 수시로 선발하는 절차가 있다. 9, 10월 하반기 공채에 나오는 회사가 전부가 아니라는 생각을 하고평소 가보고 싶은 회사를 리스트로 만들어서 즐겨찾기에 해놓고 언제 선발하는지 알아보면 좋다어떤 회사는 12월이나 1월에 선발할 수도 있다그렇기 시기적인 전략을 바꿔보는 것도 한 가지 방법이 될 것이다.

 : 공채도 물론 중요하지만게임 회사는 수시 채용이 훨씬 더 많다그래서 기업마다 홈페이지에 들어가보면 인재 등록기가 있다그래서 언제든지 직무에 지원할 수 있는 기회가 있으니 경쟁률이 치열한 공채보다 수시 채용을 노려보는 것도 좋다.

 : 한가지 팁을 더 주자면회사에서는 공채를 위해 채용 면담을 진행하는 경우가 있다보통 공채를 진행하면 200:1 정도의 경쟁률이 형성된다이런 상황에서는 어쩔 수 없이 스펙이 중요해질 수밖에 없다하지만 그런 것을 막기 위해서 많은 회사의 인사팀이 슈퍼 패스 같은 것을 준다그래서 채용 면담을 통해 우리 회사에 적합하다고 생각되면 추천을 통해 서류를 무난하게 통과하고그 다음 면접인적성 프로세스로 간다안랩도 추천을 많이 하고면담 시 괜찮다면 면접 기회를 주는 경우가 있으니 그런 채용 면담의 기회를 살려보는 것도 좋을 것이다.

 : 위메이드의 경우에는 총 채용의 25%가 지인 추천이다꽤 많은 비중을 차지하고 있다.

4. 자격증 준비가 필요할까요?

 : 제가 지금까지 이력서에서 가장 많이 본 자격증은 자동차 운전그 다음이 정보처리기사그리고 자바나 오라클과 관련된 자격증이 많았다물론 자격증도 중요하지만실제로 그 분이 어떻게 능력을 펼칠 수 있나가 게임 회사에서는 좀더 중요하다.

 : 한 달 전 채용박람회에서 30개 정도의 자격증을 가진 분을 보았다굉장히 다양한 것을 갖고 있었는데그런 분은 회사보다는 자격증 학원을 하면 좋지 않을까 생각한다양으로 승부하는 것은 의미가 없다. 그리고 오라클 자격증 소지자에게 오라클 관련 질문을 했는데 대답을 잘 못 하는 경우가 있다자격증 자체가 중요한 것은 아니니, 과하게 집착하지 않았으면 좋겠다. 

5. 면접을 자신감 있게 하려면 어떻게 해야 할까요?

 

 : 많이 떨어져야 안다경험이 중요하다.

 : 떠는 거나 긴장은 중요하지 않다눈에 잘 들어오지 않으며누구나 떨 수 있다그 이후에 안정을 찾는 것이 중요하다그 이후로 면접관의 의도를 잘 해석해서 떨려도 잘 대답만 하면된다.

사회자 : 기업에 들어가는 순간부터 면접의 시작이다대기하는 모습도 유의하는 것이 중요하다. Ahn

 

대학생기자 방기수 / 카이스트 항공우주공학전공
대학생기자 최해리 / 국민대 경영정보학부

댓글을 달아 주세요